保护内部数据安全--禁用USB端口(4)

在我的工作中遇到的一个有趣的问题，本想禁止用户运行各种游戏和聊天工具的，在“只运行许可的Windows应用程序”策略中设置了工作中所需要用到的各种软件，没想到启用策略后，居然不能再运行“GPEDDIT.MSC”来运行组策略了（我用的是Administrator用户登录），每次运行就如图6所示的提示。

 
图6 组策略提示窗口

经过一番试验，找到了解决注册表被禁用的解决办法：重新启动计算机，按下F8键，在Windows高级选项菜单里选择“带命令行提示的安全模式”，进入安全模式后，出现提示“命令行被禁用”，按下“Ctrl+Alt+Del”组合键，选择“任务管理器”，键入MMC。

打开控制台窗口，单击“文件→添加／删除管理单元”，在“独立”选项卡中单击“添加”按钮。

选择“组策略”管理单元，单击“添加”按钮，组策略对象的缺省选择为“本地计算机”。单击“完成”，随即出现了熟悉的组策略编辑窗口。这样，接下来要做的就是将启用的策略改为“未被配置”即可。

使用上面的方法打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体操作是：

1.启动故障计算机至登录状态。

2.登录到网络中的另外一台Windows 2000或Windows XP的计算机上，在命令行模式下运行net use \\computername /user:administrator password（请使用正确的参变量值替代其中的computername、password），例如net use \\192.168.0.30 /user:administrator 12345。

3.键入mmc，基本操作参照上文，在“选择组策略对象”时通过单击“浏览”查找所需的组策略对象。选择计算机时可键入计算机名或直接输入IP地址。

小结

灵活运用组策略的各种设置，可以为网管工作提供很多便利，例如禁用USB端口，禁止运行和工作无关的软件，禁止修改注册表等。而且在域环境下，可以直接在服务器上针对不同的OU设置各自的组策略，这样用户登录到服务器时，相应的设置就可以生效，避免了网管要在每台电脑上设置的麻烦。建议对于每台电脑Administrator用户密码要由网管统一掌握，必要时可通过网管电脑使用net use命令查看和更改用户电脑上的策略配置情况。